1、日期:201002密级:杭州华三通信技术有限公司H3CH3C钢铁行业园区网解决方案钢铁行业园区网解决方案1目录目录n H3CH3C公司汇报公司汇报n 保障业务连续性的设计要求保障业务连续性的设计要求n 钢铁行业园区网详钢铁行业园区网详细设计细设计n 产品介绍产品介绍n 服务及培训服务及培训n 典型案例典型案例220092009年,年,H3CH3C国内市场合同销售额较国内市场合同销售额较20082008年增长年增长27%27%,整体销售额实现增长。,整体销售额实现增长。中国市场(截至2009年12月):2009年Q3以太网交换机端口数市场份额40.9%,排名第一(IDC,2009Q3)2009年
2、Q3企业级路由器台数市场份额40.1%,排名第一(IDC,2009Q3)网络安全设备保持国内第一市场份额;WLAN产品(AP)出货量60万台,连续两年国内市场份额第一;EAD终端准入控制解决方案累计部署超过100万终端;IP智能监控成为平安工程第一品牌,承建超过160个平安城市项目;IP存储产品及解决方案网上在线运行系统近9000台,总装机容量近70,000TB,万兆存储IX3000系列累计出货超过600台;2009市场市场业绩稳定增长业绩稳定增长3支持支持IToIPIToIP战略实现的源动力来自战略实现的源动力来自H3CH3C的持续创新能力的持续创新能力 1994年进入IP领域,1800多项
3、以太网专利的一次性注入 每年将超过15的业务收入投入到研发领域 2600多名IP技术专家组成的H3C研发团队 专利申请超过2500件,85%以上是发明专利,位居国内通信行业前三,2009年申请国内专利746746件,件,平均每工作日申请三个 全球近百个国家、110多个行业广泛应用 投资超过2亿人民币,国内网络规模最大的鉴定测试中心!持续创新能力持续创新能力n2006年,H3C提出了IToIP理念,基于IP技术标准提供统一IT基础架构;n2008年,IToIP战略的中心从“标准化”向“智能开放”发展,推出OAA平台计划。4全面服务国内全球财富全面服务国内全球财富500500强企业强企业5鞍钢集团
4、中国有色中国黄金中国国电中联重科全面服务国内知名企业全面服务国内知名企业6MESMES服务钢铁行业信息化服务钢铁行业信息化与钢铁工业协会合作,推进钢铁行业信息化建设与钢铁工业协会合作,推进钢铁行业信息化建设视频会议视频会议EMSEMS数据中心数据中心ERPERP网网全全局局安安全全统统一一管管理理OAOA安保监控安保监控生产监控生产监控计量监控计量监控IPIP语音语音无线无线CADCADPDMPDM信息化应用H3C产品&解决方案网络网络 安全安全 IP存储语音存储语音 IP语音语音 IP视频视频 IP监控监控 网管网管产品和方案广泛应用于钢铁行业产量前产品和方案广泛应用于钢铁行业产量前5050
5、名的钢铁企业中约名的钢铁企业中约3030家,家,在排名前十的钢铁企业都有不同程度的应用在排名前十的钢铁企业都有不同程度的应用服务于钢铁行业服务于钢铁行业ERPERP、OAOA、MESMES、能源网、无人值守计量、视频会、能源网、无人值守计量、视频会议、生产和安防监控等信息化应用;议、生产和安防监控等信息化应用;涉及产品包括:网络、安全、监控、视频、存储等;涉及产品包括:网络、安全、监控、视频、存储等;7客户名单客户名单-钢钢铁、有色行业铁、有色行业1.太钢集团全网网络、无人值守计量监控、视频会议系统2.宝钢八一钢铁生产管理网、宝钢邯宝钢铁生产管理网、宝钢股份精密钢管厂网络扩容、宝钢国际贸易全国
6、VPN网、宝钢股份宝信软件新办公楼3.鞍钢矿山RPR环网、鞍钢鲅鱼圈新厂、一/二/三/四分厂、弓长岭铁矿、新轧钢2310分厂4.本溪钢铁(集团)ERP骨干网、自动化公司网络、IP园区监控5.重庆钢铁(集团)企业核心网、搬迁新园区6.安阳钢铁集团信息网全网7.马钢(集团)核心网、马钢VPN8.武钢集团通信骨干网、武钢国贸IP监控、武钢氧气公司IP监控9.日照钢铁全网建设、日照钢铁安全部署10.广东韶关钢铁集团管理办公网、IP生产监控、OA和生产应用存储、EAD桌面管理系统11.广西柳州钢铁(集团)骨干12.江苏永钢集团全网13.水城钢铁(集团)全网和安全14.莱芜钢铁集团15.天津钢管集团核心网
7、16.唐山建龙钢铁ERP网、唐山建龙钢铁MES网17.唐山钢铁集团总调度IP视讯会议18.首钢京唐钢铁IP监控19.唐山瑞丰钢铁(集团)20.唐山荣程钢铁有限公司网络升级21.海鑫钢铁集团信息化核心网22.新余钢铁23.舞阳钢铁网络24.苏州钢铁集团网络25.泰山钢铁不锈钢厂网络26.通化钢铁股份有限公司冷轧厂网络27.四平红嘴钢铁集团IP监控28.北台钢铁公司视讯会议29.衡钢全网改造30.济南钢铁无线网络31.江苏沙钢IP监控32.酒泉钢铁集团安全防范及EAD桌面管理系统33.昆钢集团钢厂信息化建设34.攀枝花钢铁集团网络及IP监控35.三明钢铁厂ERP网络、IP监控36.河北省钢铁集团骨
8、干网建设37.山东钢铁集团局域网核心设备-27.中国铝业公司、中国铝业ERP全国网、中铝应急救援指挥28.中国有色矿业集团29.黄金集团全国视讯网络30.中国冶金地质总局广域网互联31.山东魏桥创业集团有限公司 32.江西铜业集团公司 33.铜陵有色金属集团控股有限公司 34.南山集团公司 35.湖南有色金属控股集团株洲冶炼厂36.云南冶金集团总公司 37.紫金矿业集团股份有限公司 38.华盛江泉集团有限公司 39.云南锡业集团(控股)有限责任公司 40.辽宁有色金属集团41.青铜峡铝业集团有限公司 42.柳州华锡集团有限责任公司 43.陕西有色金属集团金堆城钼业8 新一代数据中心的最佳选择
9、进入搜狐、淘宝、腾讯、盛大、百度等世界上最大型的互联网数据中心;四大银行、中石油、中石化、中国铝业等大型企业数据中心,和中国电信、中国移动、中国联通、广电的众多数据中心项目。IPv6:H3C在教育IPv6试商用市场份额55%,占有率第一;国内唯一参与IETF WLAN国际标准制定的厂商,在国内首发企业级802.11n系列产品;中标IPv6示范工程中国移动通信研究院CNGI WLAN应用示范项目。三大热点领域齐头并进三大热点领域齐头并进 在业界第一个发布了新一代IP多媒体产品统一软件平台-IMOS,支持监控、视讯、媒体发布、VOD、语音业务;提出“安防IT化,监控大联网”的口号,指明了视频监控的
10、技术趋势和组网发展方向。9国际标准国际标准 提出两项无线网管技术被IETF CAPWAP WG接纳为正式草案,成为少数在IETF国际标准中拥有自己RFC标准草案的国内企业之一。国家行业标准国家行业标准技术标准技术标准:基于以太网的局域网系统验收测评规范 IP网络端点准入控制技术要求 基于iSCSI的IP存储交换机技术要求 IPv6技术要求IPv6路径MTU发现协议应用标准应用标准:作为唯一的安防厂家,参与城市“平安工程”六大课题的研究工作,在“平安城市建设模式”及“视频监控系统安全性”两个课题中作为主要参与单位;参与城市监控报警联网系统系列技术标准的制定、参与城市轨道交通安全防范通用技术规范制
11、定;参与国家视频监控标准工作组(AVS)编写和开发工作 参与中国电信集团公司全球眼2.5/3.0标准的制定和开发 行行业技术标业技术标准遵从准遵从“H3C非常关注标准,积极参与标准的提出、制定,他们参与非常关注标准,积极参与标准的提出、制定,他们参与的广度和深度是我所了解的中国其他的广度和深度是我所了解的中国其他IT企业所不及的。企业所不及的。”全国安全防范报警系统标准化技术委员会秘书长、顾问刘希清10H3C从产品的生命周期,即设计、采购、制造、物流、销售、使用、回收再利用等各个环节,减少能源消耗和对环境的负荷。节能节能:采用高效节能电源、智能散热方案、节能芯片等方式,H3C的产品能耗显著降低
12、,多数产品较业界同类产品能耗低10%以上,表现突出者如SR66多业务路由器整机功耗降至同类厂商同级别设备一半以下。环保环保:H3C从2006年开始提供符合RoHS指令的产品。目前H3C不仅严格限制RoHS指令要求的6种有害物质的使用,还额外限制了其他11类有害物质如砷、PCB等的使用。回收回收:目前所有产品均满足WEEE标准要求,绝大多数产品回收率达到80%以上。关注绿色节能关注绿色节能第三方测评第三方测评1.H3C S7506E和S5500-EI两款交换机通过业界唯一可以为网络产品提供绿色认证的第三方测试认证机构Miercom的绿色认证。与业界平均水平相比,H3C S7506E每年可节省24
13、%维护费用,H3C S5500-EI每年可节省17%维护费用;2.Network World认为“低能耗是H3C设备很重要的一个特点”;3.H3C新一代数据中心获中国计算机报“2009年度绿色IT产品”。11高品质、开放、智能视频产品系列语音产品系列H3CS7500E核心交换机H3CWX5002Wireless SwitchH3CS9500万兆核心路由交换多业务插卡全局、深度、统一管理IP自适应网络存储监控产品系列H3CMSR开放路由器H3CSR88骨干路由器H3CWA1208E双模APH3CIX1000H3CIV5000H3CIX5000H3C IPSH3CV1000-A网关H3CF1800
14、A 防火墙交换机产品系列WLAN产品系列安全产品系列路由器产品系列数据管理数据管理用户管理用户管理业务管理业务管理安全管理安全管理IPIP智能智能网络管理网络管理IPIP通信通信IPIP网络网络IPIP存储存储ITOIP四大产品族四大产品族12IT业务流程及应用 流程与管理流程与管理协同应用协同应用系统控制系统控制开放应用架构-OAAVMDMSMIMCOAPIP融合基础设施计算计算多媒体多媒体安全安全存储存储IPIP网络网络onIPIT实现智能实现智能通过开放通过开放基于标准基于标准O OpenpenA ApplicationpplicationA Architecturerchitectur
15、eOAAITOIP-OAA开放、融合的架构开放、融合的架构13目录目录n H3CH3C公司汇报公司汇报n 保障业务连续性的设计要求保障业务连续性的设计要求n 钢铁行业园区网详钢铁行业园区网详细设计细设计n 产品介绍产品介绍n 服务及培训服务及培训n 典型案例典型案例14钢铁信息化的应用钢铁信息化的应用生生产产供供应应销销售售财财务务人人事事数据数据挖掘挖掘决策决策支持支持 生产设备控制生产设备控制生产线控制生产线控制 计划物料控制计划物料控制战略决策战略决策运营管理运营管理产销一体、管控衔接、三流同步产销一体、管控衔接、三流同步 数字管理驾驶舱数字管理驾驶舱 基础自动化基础自动化 生产过程自动
16、化生产过程自动化 生产管理自动化生产管理自动化 项项目目15制造控制生产管理资源控制决策支持数据挖掘、知识管理、决策支持系统供应链优化和管理系统SCM过程控制系统PCS钢铁信息化业务介绍和模型钢铁信息化业务介绍和模型供应商关系管理客户关系管理财务/成本管理人力资源管理销售管理采购管理生产管理质量管理库存管理项目管理设备管理基础自动化系统制造执行系统(MES):计划执行生产跟踪、仓库管理、统计分析等其他专有系统:计质量系统、运输系统、能源系统、检化验系统等办公自动化 L2 L2L3L3L4L4L5L5L1L1业务连续性业务连续性两化融合两化融合多网合一多网合一16供应链优化和决策支持供应链优化和
17、决策支持ERPERPMESMES过程控制过程控制基础自动化基础自动化销售管理销售管理 采购管理采购管理 生产管理生产管理 质量管理质量管理 成本管理成本管理 设备管理设备管理分厂分厂1 1分厂分厂2 2分厂分厂3 3分厂分厂4 4分厂分厂5 5生产跟踪、仓库管理生产跟踪、仓库管理计质量系统、检化验系统计质量系统、检化验系统检化验检化验设备设备计量设备计量设备计划计划反馈反馈调整调整控制控制 L2 L2L3L3L4L4L5L5L1L1钢铁信息化的数据依赖钢铁信息化的数据依赖17钢铁信息化面临的挑战钢铁信息化面临的挑战 钢铁信息化趋势钢铁信息化趋势IT 系统成为企业生存与发展的技术神经 钢铁信息化
18、面临的问题钢铁信息化面临的问题安全屡受威胁管理维护困难系统扩展困难数据不连续系统不稳定人为操作错误灾难事故股价下跌丧失市场机遇损失生产能力交货不及时客户流失企业声誉受损业务不连续业务不连续IT IT中断中断18组网方案技术要求建设目标和要求建设目标和要求采用主流网络体系结构和网络设备,对现有网络加固,构建一个采用主流网络体系结构和网络设备,对现有网络加固,构建一个高性能、高高性能、高安全性、高可靠性、高扩展性的安全性、高可靠性、高扩展性的结构科学合理的多业务网络系统结构科学合理的多业务网络系统网络系统应是开放性,符合国际标准,应确保网络内部以及原有网络系统互网络系统应是开放性,符合国际标准,应
19、确保网络内部以及原有网络系统互连互通连互通网络系统要易于扩展,相关设备易于平滑升级至更新技术,保护原有投资。网络系统要易于扩展,相关设备易于平滑升级至更新技术,保护原有投资。为了保为了保障多业务承载以及对障多业务承载以及对网络安全的需求,网络安全的需求,支持支持MPLS VPNMPLS VPN技术技术采用采用万兆骨干万兆骨干,接入、汇聚日后可平滑升级,满足新业务的带宽要求接入、汇聚日后可平滑升级,满足新业务的带宽要求安全网络,保障内网各个区域和安全网络,保障内网各个区域和InternetInternet出口安全出口安全支持支持无线网络的扩展,有线无线一体化管理无线网络的扩展,有线无线一体化管理
20、全局的面向业务的安全保障全局的面向业务的安全保障方便管理,易于维护方便管理,易于维护基础网络基础网络业务融合业务融合全网安全全网安全统一管理统一管理19网络管理模块网络管理模块数据中心模块数据中心模块InternetInternet连接模块连接模块远程接入和远程接入和VPNVPN模块模块园区核心模块园区核心模块接入层子模块汇聚层子模块园区接入模块园区接入模块园区网络园区网络园区网络边缘园区网络边缘服务提供服务提供商边缘网商边缘网络络网络设计思路网络设计思路-分区规划分区规划网络安全管理网络安全管理广域网互联广域网互联1.能优化网络结构。根据业务的划分,设计出网络承载带宽。2.能够细化出区域之间
21、访问的安全性,为安全的部署提供依据3.更加有利于管理20蠕虫/病毒DDoS攻击带宽滥用 etc安全风险分析安全风险分析杀毒软件、防毒墙、IPS抗DDoS设备、IPS带宽管理 etc网络安全问题解决技术网络安全问题解决技术端点部署内/外网关部署网络边界部署 etc安全产品部署安全产品部署机密性完整性可用性确立安全目标确立安全目标业务流程安全规划系统安全体系规划业务持续性规划安全体系规划安全体系规划业务流程安全建设系统安全体系建设业务持续性实现安全体系建设安全体系建设面向业务的安全保障:分析业务流程,制定针对性安全规划面向业务的安全保障:分析业务流程,制定针对性安全规划优点:明确目标、明确规划、问
22、题明确、响应迅速优点:明确目标、明确规划、问题明确、响应迅速安全设计思路安全设计思路面向业务面向业务安全设计思路安全设计思路-全局安全面向业务全局安全面向业务关键点安全:分析安全的脆弱点并在关键点部署安全产品关键点安全:分析安全的脆弱点并在关键点部署安全产品缺点:问题层出不穷,网管疲于应付缺点:问题层出不穷,网管疲于应付面向业务,划分出业务访问的边界,根据业务安全的不同级别,全局部署!21n路由器、交换机等设路由器、交换机等设备以及由它们所构成备以及由它们所构成的网络的网络n高速的报文转发能力n安全的网络访问控制n磁盘阵列、磁带、存磁盘阵列、磁带、存储管理等存储设备储管理等存储设备n低成本、易
23、扩展的存储空间n高效的数据读取n数据安全保护n包括包括WindowsWindows、UnixUnix等各类服务器及其上等各类服务器及其上的业务应用软件系统的业务应用软件系统n高效、稳定的数据计算能力资资源使用者(人)源使用者(人)业务牵引人对IT资源的调配和使用资资源源的的安安全全使使用用人人与与资资源源的的融融合合管理设计思路管理设计思路综合管理综合管理管理设计思路管理设计思路-统一管理统一管理22多媒体承载多媒体承载-语音、视频语音、视频、监控多业、监控多业务融合务融合InternetInternet网网-Internet Internet 接接入、入、VPNVPN接接入、入、4S4S店店
24、广域网广域网-经营管理系经营管理系统、分公司统、分公司的互联的互联信息、生产信息、生产-制造管理层制造管理层、生产执行、生产执行层系统层系统多网合一、统一数据承载多网合一、统一数据承载生产网生产网-生产自动化生产自动化系统上联数系统上联数据交换平台据交换平台融合的数据中心融合的数据中心ERP、OA、MES、CAD,PDM新一代技术架构新一代技术架构-多业务统一承载多业务统一承载安安全全架架构构|统统一一安安全全管管理理架架构构、节节能能设设计计视频会议、IP语音、监控23服务于钢铁行业信息化的服务于钢铁行业信息化的IT IT基础架构基础架构生生产基地自动化产基地自动化系统上联数据交系统上联数据
25、交换平台换平台L1L2L3L4L5自动化自动化/制造管理、制造管理、生产执行层互联专生产执行层互联专网区域网区域外部接入外部接入网区域网区域管理网管理网区域区域生产主干生产主干网区域网区域生生产基地制造管产基地制造管理层、生产执行理层、生产执行层系层系统、能源网统、能源网生生产基地经营管理产基地经营管理系统系统、专、专线接入线接入、各各个分子公司的专个分子公司的专线接入线接入Internet Internet 接接入、入、VPNVPN接接入入语音、视频语音、视频、监控、监控多媒体多媒体承载承载数数据中心据中心全局安全部署全局安全部署统一管理统一管理24整体架构拓扑整体架构拓扑 集集团团各分公司
26、各分公司服服务务器器群群数据中心数据中心SSL VPNSSL VPNDNS/DNS/邮件邮件/WEB/WEB 视讯系统视讯系统MCUMCU软终端软终端IPIP语音系统语音系统Ephone 话务台系列TGPBXIPIP监控监控管理区管理区25目录目录n 钢铁行业园区网详钢铁行业园区网详细设计细设计n 网络设网络设计计n网络架构设计网络架构设计n数据中心设计数据中心设计n多业务承载设计多业务承载设计n无线设计无线设计nIRF2.0IRF2.0虚拟化虚拟化n可靠性保障可靠性保障n 安全设计安全设计n 融合通信融合通信n 管理设计管理设计26网络发展历程网络发展历程网络架构网络架构星型双归属环形网环形
27、网网络隔离网络隔离共享区域隔离业务隔离设备冷备用户业务隔离用户业务隔离可靠性可靠性设备热备网络自愈50ms50ms切换切换业务承载业务承载数据传输数据交换数据共享多业务承载多业务承载安全保障安全保障设备安全局域网安全全局安全智能安全联动智能安全联动HUB共享10M100M1000M1000M接入速率接入速率27组网组网普通普通RPRRPR双归属双归属带宽带宽10G10G10G10G2 210G10G可靠性可靠性200ms200ms50ms50ms秒级秒级自愈自愈软件软件硬件硬件软件软件灵活性灵活性一般一般好好差差VSVS10G RPR骨干网技术比较骨干网技术比较-RPR 双归属双归属n 骨干网
28、发展趋势:星型双归属环形网n 骨干网建设原则:n高可靠n高性能n高带宽n快速修复n灵活、扩展n 相继落成,业务无中断的核心网络节点扩展为这种需求提供了保障。28网络详细设计网络详细设计接入交换机:1.边缘端口BPDU保护2.802.1X认证3.支持虚拟化,便于扩展4.支持POE1.双设备、双链路冗余保障可靠性2.端到端虚拟化支持,简化管理、提升网络可靠性核心/汇聚交换机1.高性能:全分布式转发2.支持BFD,故障切换毫秒级3.最长匹配逐包转发,天然防护DOS攻击4.支持热补丁技术1.瘦AP方式灵活支持无线的扩展2.无线有线管理一体化管理设备可靠保障:双主控、双电源MPLS VPN虚拟园区网,业
29、务隔离 集集团团各分公司各分公司SSL VPNSSL VPNDNS/DNS/邮件邮件/WEB/WEB 万兆核心、百兆千兆接入29共享总线节 点 D节 点 C节 点 B节 点 A节 点 D节 点 C节 点 B节 点 A环形交换RAMPort Port PortPortPortPortRAMPort Port PortPortPortPort共享内存Port0 RPort1 RPort11 RPort2 RPort0 TPort1 TPort11 TArbiter0000000000011000000000000110仲裁交换矩阵控制矩阵Port0 RPort1 RPort11 RPort2 RP
30、ort0 TPort1 TPort11 TArbiterArbiter0000000000011000000000000110仲裁交换矩阵控制矩阵Crossbar共享内存最古老的数据交换方式没有专门的交换网芯片各线卡分时占用背板总线 仍然是一种总线交换方式 改进点是将总线移到了芯片中,而不是在背板上一种全新的交换方式支持大量突发数据缓冲与共享总线交换方式有本质不同采用了一种矩阵结构实现了无阻塞交换在交换网络内部没有带宽的瓶颈不会因为带宽资源不够而产生阻塞 多个交换平面构成一个统一的交换网 真正的无阻塞交换 多级交换网,理论上容量可无限扩展 可以平滑扩展支持40G,100G端口CLOS多级交换架
31、构交换机体系结构的演进历史交换机体系结构的演进历史30 单级交换网多级交换网结构1,单平面交换;2,交换矩阵和控制统一,即引擎承担了交换和控制双重功能;1,多块交换网板共同完成流量交换2,控制和交换硬件分离转发能力受限于单个交换芯片的交换能力,目前最大到720G就很难提升。多块交换网板同时分担业务流量,相当于N倍于单级交换的能力升级能力无法升级可以为设备提供持续的交换能力升级fabric交换结构的升级交换结构的升级31全分布式转发架构全分布式转发架构n分布式的IPv4/IPv6/MPLS报文转发,保证设备高性能转发能力。满足数据中心、园区网核心、汇聚的高性能需求。CrossbarCrossba
32、rEngineEngineIPv4MPLS VPNASICI/O ModuleIPv6IPv4MPLS VPNASICI/O ModuleIPv6IPv4MPLS VPNASICI/O ModuleIPv6IPv4MPLS VPNASICI/O ModuleIP32目录目录n 钢铁行业园区网详钢铁行业园区网详细设计细设计n 网络设网络设计计n网络架构设计网络架构设计n数据中心设计数据中心设计n多业务承载设计多业务承载设计n无线设计无线设计nIRF2.0IRF2.0虚拟化虚拟化n可靠性保障可靠性保障n 安全设计安全设计n 融合通信融合通信n 管理设计管理设计33集中集中计算中心计算中心主机主机终
33、端终端 IT 相关性以及控制相关性以及控制应用体系架构演变应用体系架构演变分散分散下一代数据中心下一代数据中心服务导向服务导向SOA WEB 2.0虚拟化集中虚拟化集中云(网格)计算云(网格)计算云(网格)存储云(网格)存储数据中心数据中心服务器服务器客户机客户机计算、存储、通信、计算、存储、通信、软件集中在软件集中在1 1台昂贵的台昂贵的设备里,集中计算设备里,集中计算计算、存储、网络设备软计算、存储、网络设备软件系统高度独立,客户机件系统高度独立,客户机服务器模式,分布计算服务器模式,分布计算计算、存储、网络资源随计算、存储、网络资源随需而变化,系统像云一样需而变化,系统像云一样变幻无常,
34、集群计算变幻无常,集群计算以计算为中心以计算为中心以数据为中心以数据为中心以网络为中心以网络为中心标准化标准化虚拟化虚拟化自动化自动化数据中心发展趋势数据中心发展趋势34性能优化性能优化简化部署绿色节能绿色节能安全合规业务永续业务永续内容压缩内容压缩运维管理运维管理下一代下一代数据中心数据中心下一代数据中心面临的挑战下一代数据中心面临的挑战35不断演化增强的基础架构不断演化增强的基础架构标准化标准化统一交换数据中心统一交换数据中心虚拟化虚拟化资源共享数据中心资源共享数据中心自动化自动化业务调度数据中心业务调度数据中心标准化:标准化:统一交换架构统一交换架构数据中心整合数据中心整合 万兆网络万兆
35、网络万兆安全万兆安全万兆存储万兆存储万兆集群万兆集群数据中心数据中心IRF虚拟化:虚拟化:端到端虚拟化端到端虚拟化 全全DC级级IRF虚拟化网络实例虚拟化网络实例 Chassis IRF Box IRF自动化:自动化:资源分配自动化资源分配自动化业务应用自动化业务应用自动化管理服务自动化管理服务自动化NDC1.0NDC2.0NDC3.0H3CH3C下一代数据中心下一代数据中心NDCNDC36数据中心基础架构数据中心基础架构数据中心存储与灾备数据中心存储与灾备数据中心应用优化数据中心应用优化数据中心虚拟化数据中心虚拟化数据中心高可用数据中心高可用数数据据中中心心运运维维管管理理前前端端网网络络后
36、后端端网网络络核心交换机FirewallIPS汇聚交换机接入交换机WAN优化 防毒卡 应用优化安全安全管理管理网管监控系统日志分析磁盘阵列存储存储应用优化应用优化网络网络虚拟化平台数据中心安全数据中心安全H3CH3C下一代数据中心解决方案下一代数据中心解决方案37面向服务面向服务-分区规划分区规划Intranet Intranet 服务器区服务器区数据交换服务器区数据交换服务器区数据中心管理区数据中心管理区Extranet Extranet 服务器区服务器区园区网园区网核心区核心区本区主要放置由内部用户访问的应用和数据库,是最重要的业务区域本区主要放置为不同业务应用之间进行数据交换的中间业务应
37、用,不能由普通用户直接访问.本区主要放置管理服务器,并可以连接到园区的管理系统里。本区主要放置被来自Internet的合作方或通过VPN接入的合作所方所访问的应用和数据库.Internet Internet 服务器区服务器区本区主要放置Internet DMZ架构下的服务器如DNS等,也称为DMZ区数据中心数据中心核心区核心区Internet/VPN Internet/VPN 接入区接入区园区网园区网数据中心数据中心38高可扩展性高可扩展性-分层设计分层设计n 核心层核心层:各个汇聚的链接点,缩小汇聚故障域、高速的报文交换(一般为三层连接)n 汇聚层汇聚层:提供多个接入模块的汇聚、为主机提供缺
38、省网关、提供服务模块(4-7服务,防火墙、入侵检测、SSL加速、负载均衡等,可以用外挂设备或者使用插卡的方式)n 接入层接入层:也称做“服务器层”,为服务器群(在此部署各种应用服务器,常采用基于WEB的三层结构部署,WEB层、应用层/中间件层、数据库层)提供2层或者3层的连接n 存储网络存储网络:存储虚拟化管理设备,存储阵列企业核心网企业核心网核核心心层层汇汇聚聚层层接接入入层层IV5000SAN39数据中心数据中心-接入层部署接入层部署-接入方式接入方式n 三层设计:三层设计:n接入三层交换机,服务器网关在接入交换机n接入层、汇聚层之间三层连接nVLAN不能跨接入交换机n 优点优点:n广播域
39、小n收敛时间小n三层路径多,可以做负载均衡(VRRP)n 缺点:缺点:n网卡绑定、服务器集群不可以跨接入交换机nIP占用过多n服务模块,部署服务模块路径的问题n有些服务模块必须要有二层链接(防火墙等)VLAN 20VLAN 20企业核心网企业核心网汇汇聚聚层层核心层核心层VLAN 10VLAN 10三层接口40数据中心数据中心-核心和汇聚层部署核心和汇聚层部署n 汇聚引擎故障引起收敛汇聚引擎故障引起收敛nSTPSTPnVRRPVRRPn负载均衡负载均衡n防火墙防火墙n 部署汇聚交换机,避免收敛时部署汇聚交换机,避免收敛时间间nVRRPVRRPn汇聚层会话信息热备汇聚层会话信息热备n线速转发线速
40、转发nECMPECMP、动态路由快速收敛、动态路由快速收敛企业核心网企业核心网核核心心层层汇汇聚聚层层接接入入层层41BABAC计算虚拟化:计算虚拟化:根据应用的相似、相关性,对服务器整合,通过虚拟化软件,充分利用服务器物理资源网络虚拟化:网络虚拟化:按照应用提供的服务要求,针对其访问特点,虚拟出专用通道实现访问隔离,并且使用虚拟的应用智能(如安全),保障服务质量存储虚拟化:存储虚拟化:存储资源异构整合,对应用系统提供资源化的存储存储虚拟化存储虚拟化计算虚拟化计算虚拟化网络虚拟化网络虚拟化SANSANLANLAN端到端的虚拟化是实现数端到端的虚拟化是实现数据中心资源化的前提据中心资源化的前提安
41、全虚拟化安全虚拟化数据中心数据中心-端到端虚拟化端到端虚拟化42数据中数据中心设心设计计n 数据中心分区分层设计具有良好的可扩展性架构n 汇聚层(接入)n 可扩展防火墙插卡,可部署控制流和访问流的不同的防火墙策略n 可扩展IPS插卡防止服务器攻击,n 数据中心接入:多种高性能交换机n 工作站汇聚接入交换机支持虚拟化堆叠,便于后续扩展接入区接入区管理区管理区ERP核心区核心区n 双电源、双设备、双链路n 万兆连接到核心交换机n 服务器千兆/万兆接入n 工作站万兆接入n 支持IRFMES多媒体多媒体办公办公43目录目录n 钢铁行业园区网详钢铁行业园区网详细设计细设计n 网络设网络设计计n网络架构设
42、计网络架构设计n数据中心设计数据中心设计n多业务承载设计多业务承载设计n无线设计无线设计nIRF2.0IRF2.0虚拟化虚拟化n可靠性保障可靠性保障n 安全设计安全设计n 融合通信融合通信n 管理设计管理设计44如何在同一张网上即能够实现业务之间的隔离又可以实现对共享数据的如何在同一张网上即能够实现业务之间的隔离又可以实现对共享数据的访问?访问?生产管理销售安保监控OA分支生产分支部门管理各分公司销售偏远分支安保分支部门OA数字化园区数字化园区-业务分类和隔离需求业务分类和隔离需求45物理隔离物理隔离 or VLANor VLAN?财务财务 networksnetworksOA OA netw
43、orksnetworkscampuscampus传统实现方式:传统实现方式:物理隔离带来的问题:物理隔离带来的问题:维护多套独立系统维护多套独立系统当不同业务访问出现在同一物理区域当不同业务访问出现在同一物理区域内时,投资增加。内时,投资增加。当访问者物理位置发生变化时,网络当访问者物理位置发生变化时,网络改造量巨大改造量巨大VLAN+ACLVLAN+ACL方式带来的问题:方式带来的问题:配置复杂(配置复杂(VLANVLAN基于二层隔离,三基于二层隔离,三层隔离需要通过层隔离需要通过ACLACL实现)实现)用户移动带来的不变性用户移动带来的不变性当访问者物理位置发生变化时,配置当访问者物理位置
44、发生变化时,配置更改量巨大更改量巨大VLAN+ACLVLAN+ACL数字化园区数字化园区-传统隔离方案传统隔离方案46业务的影响需要依靠CPU的放攻击能力需要满足园区统一管理的架构,管理部分不隔离灵活性灵活性标准化标准化安安全隔离全隔离绿色节能绿色节能扩展性扩展性业务融合业务融合统一管理统一管理业务隔离的安全保业务隔离的安全保障,业务不能相互影响障,业务不能相互影响多业务承载,生产网、信息网、视频网多网合一多业务承载,生产网、信息网、视频网多网合一业务融合的业务访问业务融合的业务访问统一承载统一承载的的要求要求47统一承载统一承载-虚拟化架构虚拟化架构MPLSRIB1FIB1转发平面控制引擎控
45、制引擎管理平面核心核心CPUCPU独立的检测引擎,不受主控CPU负荷影响,提供高可靠和高性能的FFDR CPU系统,专门用于BFD、OAM等快速故障检测,并与控制平面的协议实行联动,支持快速保护切换和快速收敛,可以实现30ms的故障检测,保障业务不中断。CPURIB2FIB2RIB3FIB3RIBnFIBn.二层/三层协议(VLAN管理、IGMP、OSPF、BGP、VRRP、BFD)网络管理SMNP等EMS CPU系统,支持电源智能管理,支持单板顺序上电可以控制单板下电,降低系统功耗。控制平面检测引擎检测引擎控制引擎控制引擎维护引擎维护引擎48统一承载统一承载-MPLS VPN业务隔离业务隔离
46、 集集团团各分公司各分公司服服务务器器群群数据中心数据中心SSL VPNSSL VPNDNS/DNS/邮件邮件/WEB/WEB 视讯系统视讯系统MCUMCU软终端软终端IPIP语音系统语音系统Ephone 话务台系列TGPBXIPIP监控监控管理区管理区n接入方式接入方式:二层透传,EAD认证,杜绝非法访问nVPNVPN接入接入:端口无关,动态VPN下发,VPN内部IP地址动态获取n业务隔离业务隔离:统一出口,灵活的业务隔离和访问控制49统一承载安全隔离统一承载安全隔离-安全事件来源安全事件来源主机服务器攻击主机服务器攻击用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统
47、)的攻击,诸如病毒、木马。网络自身安全网络自身安全网络设备主要面对的是基于TCP/IP协议的攻击所谓网络安全威胁,包括传输数据安全威胁和网络设备安全威胁。传输数据安全威胁指通过特定技术,对在网络、服务器和桌面上存储和传输的数据未经授权进行访问,甚至破坏或者修改这些数据;网络设备安全威胁指针对网络设备进行攻击,影响网络设备正常运行。1.1.导致服务器或者导致服务器或者PCPC机的操作系统故障机的操作系统故障2.2.导致网络拥塞,从而影响其他业务的转发导致网络拥塞,从而影响其他业务的转发1.1.导致网络设备导致网络设备CPUCPU占用率过高,从而影响其他关键业务的处理占用率过高,从而影响其他关键业
48、务的处理2.2.获取管理权限,更改网络配置,导致网络中断获取管理权限,更改网络配置,导致网络中断50分层的分层的CPUCPU攻击防护攻击防护异常报文过滤异常报文过滤非法报文,攻击报文线速的线速的ACLACL入方向和出方向ACL定制的协议报文上定制的协议报文上CPUCPU队列队列每种协议报文均可分配到一个独立队列,协议间相互不影响,可按PPS限制报文数控制面策略控制面策略可以根据报文来自的单板端口号,报文中的TCP/UDP端口号对上CPU的协议报文过滤和限速异常报文过滤和抑制异常报文过滤和抑制海量海量线速线速ACLCPU队列限速队列限速控制面策略控制面策略CPU统一承载安全隔离统一承载安全隔离-
49、CPU-CPU防护防护51统一承载安全隔离统一承载安全隔离-桌面安全防范桌面安全防范你是谁?你是谁?你安全吗?你安全吗?你可以做什你可以做什么?么?你在做你在做什么?什么?52统一承载安全隔离统一承载安全隔离-桌面安全防范桌面安全防范53802.1X server/CE环保环保财务财务办公办公MCE/PEId:abchuanbaoPassword:abcVPN:1Id:abcjiliangPassword:abcVPN:2用户域VLANVPN资源环保11环保财务22财务办公33办公计量44计量计量计量VPN:3VPN:4VLAN:1VLAN:2VLAN:3VLAN:41.1.接入端的端口非常灵
50、活,接入端的端口非常灵活,会根据不同的用户,分配到会根据不同的用户,分配到不同的不同的VPN/VLANVPN/VLAN内内2.2.只需要在服务端设置分配只需要在服务端设置分配策略,所有策略,所有VPNVPN和和VLANVLAN的的分配都是动态的分配都是动态的统一承载安全隔离统一承载安全隔离-桌面安全防范部署桌面安全防范部署54厂区厂区1 1厂区厂区2 2厂区厂区n n生产网生产网X X生产网生产网生产网生产网OAOA、ERPERP、工业监控等工业监控等1.1.通过防火墙模块,保障单通过防火墙模块,保障单一业务内的安全防护一业务内的安全防护2.2.单个业务内的安全保障,单个业务内的安全保障,可以